你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 Microsoft Sentinel 的 Crowdstrike Falcon Data Replicator V2(使用 Azure Functions)连接器
Crowdstrike Falcon Data Replicator 连接器提供将 Falcon 平台事件中的原始事件数据引入 Microsoft Sentinel 的功能。 该连接器提供从 Falcon 代理获取事件的功能,这有助于检查潜在的安全风险、分析团队协作情况、诊断配置问题等。
这是自动生成的内容。 有关更改,请联系解决方案提供商。
连接器属性
连接器属性 | 说明 |
---|---|
Azure 函数应用代码 | https://aka.ms/sentinel-CrowdstrikeReplicatorV2-functionapp |
Kusto 函数别名 | CrowdstrikeReplicator |
Kusto 函数 URL | https://aka.ms/sentinel-crowdstrikereplicator-parser |
Log Analytics 表 | CrowdStrike_Additional_Events_CL ASimNetworkSessionLogs ASimDnsActivityLogs ASimAuditEventLogs ASimFileEventLogs ASimAuthenticationEventLogs ASimProcessEventLogs ASimRegistryEventLogs ASimUserManagementActivityLogs CrowdStrike_Secondary_Data_CL |
数据收集规则支持 | 目前不支持 |
支持的服务 | Microsoft Corporation |
查询示例
Data Replicator - 所有活动
CrowdStrikeReplicatorV2
| sort by TimeGenerated desc
先决条件
要与 Crowdstrike Falcon Data Replicator V2(使用 Azure Functions)集成,请确保具有:
- Microsoft.Web/sites 权限:必须对 Azure Functions 拥有读写权限才能创建函数应用。 请参阅文档以详细了解 Azure Functions。
- SQS 和 AWS S3 帐户凭据/权限:需要 AWS_SECRET、AWS_REGION_NAME、AWS_KEY、QUEUE_URL。 参阅文档以详细了解数据拉取。 若要开始,请联系 CrowdStrike 支持人员。 他们将按照你的请求创建一个 CrowdStrike 托管的 Amazon Web Services (AWS) S3 存储桶用于短期存储目的,并创建一个 SQS(简单队列服务)帐户用于监视对 S3 存储桶的更改。
供应商安装说明
注意
此连接器使用 Azure Functions 连接到 AWS SQS/S3,以将日志拉取到 Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请参阅 Azure Functions 定价页。
(可选步骤)将 API 授权密钥或令牌安全地存储在 Azure 密钥保管库中。 Azure Key Vault 提供了一种存储和检索键值的安全机制。 按照这些说明,将 Azure Key Vault 与 Azure 函数应用结合使用。
先决条件
- 在 CrowdStrike 中配置 FDR - 必须联系 CrowdStrike 支持团队以启用 CrowdStrike FDR。
- 启用 CrowdStrike FDR 后,从 CrowdStrike 控制台导航到支持 -> API 客户端和密钥。
- 需要创建新的凭据以复制 AWS 访问密钥 ID、AWS 机密访问密钥、SQS 队列 URL 和 AWS 区域。
- 注册 AAD 应用程序 - 要使 DCR 能够进行身份验证以将数据引入日志分析,必须使用 AAD 应用程序。
部署选项
从以下两个部署选项中选择一个以部署连接器和关联的 Azure 函数
选项 1 - Azure 资源管理器 (ARM) 模板
使用此方法通过 ARM 模板自动部署 Crowdstrike Falcon Data Replicator 连接器 V2。
单击下面的“部署到 Azure” 按钮。
提供所需的详细信息,例如 Microsoft Sentinel 工作区、CrowdStrike AWS 凭据、Azure AD 应用程序详细信息和引入配置。注意:在同一资源组中,不能在同一区域中混合使用 Windows 和 Linux 应用。 选择不包含 Windows 应用的现有资源组,或创建新的资源组。 建议创建用于部署函数应用和相关资源的新资源组。
选中“我同意上述条款和条件”复选框。
单击“购买”进行部署。
选项 2 - 手动部署 Azure Functions
按照以下分步说明,使用 Azure Functions 手动部署 Crowdstrike Falcon Data Replicator 连接器(通过 Visual Studio Code 进行部署)。
1.为数据引入部署 DCE、DCR 和自定义表
- 使用数据收集资源 ARM 模板部署所需的 DCE、DCR 和自定义表
- 成功部署 DCE 和 DCR 后,获取以下信息并使其保持随时可用(Azure Functions 应用部署期间需要)。
- DCE 日志引入 - 按照“创建数据收集终结点”(步骤 3)中提供的说明进行操作。
- 一个或多个 DCR 的不可变 ID(如适用)- 按照从 DCR 收集信息(步骤 2)中提供的说明进行操作。
2.部署函数应用
- 下载 Azure 函数应用文件。 将存档提取到本地开发计算机。
- 按照函数应用手动部署指南,使用 VSCode 部署 Azure Functions 应用。
- 成功部署函数应用后,请按照后续步骤进行配置。
3. 配置函数应用
转到 Azure 门户,获取函数应用配置。
在函数应用中选择“函数应用名称”,然后选择“配置”。
在“应用程序设置”选项卡中,选择“新建应用程序设置”。
分别添加以下每个应用程序设置及其各自的字符串值(区分大小写):
- AWS_KEY
- AWS_SECRET
- AWS_REGION_NAME
- QUEUE_URL
- USER_SELECTION_REQUIRE_RAW //True(如果需要原始数据)
- USER_SELECTION_REQUIRE_SECONDARY //True(如果需要辅助数据)
- MAX_QUEUE_MESSAGES_MAIN_QUEUE // 100(消耗)或 150(高级)
- MAX_SCRIPT_EXEC_TIME_MINUTES // 在此处添加值 10
- AZURE_TENANT_ID
- AZURE_CLIENT_ID
- AZURE_CLIENT_SECRET
- DCE_INGESTION_ENDPOINT
- NORMALIZED_DCR_ID
- RAW_DATA_DCR_ID
- EVENT_TO_TABLE_MAPPING_LINK // 文件存在于 Github。 如果可以使用 Internet 访问文件,请添加
- REQUIRED_FIELDS_SCHEMA_LINK //文件存在于 Github。 如果可以使用 Internet 访问文件,请添加
- Schedule //添加值为“0 */1 * * * *”,以确保函数每分钟运行一次。
输入所有应用程序设置后,单击“保存”。
后续步骤
有关详细信息,请转到 Azure 市场中的相关解决方案。